我正在寻找一种工具,该工具可以让我通过以etl格式编写的服务结构来浏览和查询/搜索日志。我尝试使用MessageAnalyzer,但加载时间很长,并且挂起,第二个工具Windows日志浏览器,但是在转换为evtx日志后,如下所示,对我来说毫无用处:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-ServiceFabric" Guid="{cbd93bc2-71e5-4566-b3a7-595d8eeca6e8}" />
<EventID>65534</EventID>
<Version>1</Version>
<Level>0</Level>
<Task>65534</Task>
<Opcode>254</Opcode>
<Keywords>0xffffffffffffff</Keywords>
<TimeCreated SystemTime="2018-08-17T14:11:30.484723000Z" />
<EventRecordID>11534</EventRecordID>
<Correlation />
<Execution ProcessID="14332" ThreadID="5124" ProcessorID="3" KernelTime="9" UserTime="63" />
<Channel />
<Computer>Machine Name</Computer>
<Security />
</System>
- <ProcessingErrorData>
<ErrorCode>15003</ErrorCode>
<DataItemName />
<EventPayload>0101005B69002C006F6E3D223022206C657..74656D706C6174653D22537461727441735072696D61727941726773222F3E0D0A20203C6576656E742076</EventPayload>
</ProcessingErrorData>
</Event>
我看到在Azure上(https://channel9.msdn.com/Events/dotnetConf/2018/S208在35分钟为0)可以选择使用Application Insights查询结果。有什么工具可以让我在本地执行此操作吗?
答案 0 :(得分:2)
我通常将PerfView用于大多数ETW日志分析。它为原始文件提供了很好的筛选功能,而无需将日志转换为其他格式的任何格式,而且它非常轻巧,可以处理庞大的日志文件。
在OMS或Application Insights上使用诸如Log Analytics之类的工具的好处是,它提供了警报,聚合和SQL之类的高级功能,例如对这些相同事件的查询。此外,设置后,您无需处理大型日志文件(通常在Blob存储中托管的文件中)即可找到应用程序的日志。
对于开发,PerfView可以完成工作,对于生产分析,我建议您选择OMS或AppInsights。
LogAnalitics的唯一缺点是事件不会实时显示,它需要花费几分钟才能在门户中看到,然后比在PerfView或其他工具上查找和复制文件进行分析更快。